トーク

概要

GMO Flatt Securityで日々 Webアプリケーションの脆弱性診断に従事する私が、PHPアプリケーションを題材に「攻撃者が脆弱性を見つける瞬間」と「開発者ができる対策ポイント」を紹介します。古くからあるCTFなどでも使われるようなテクニックから、最新のテクニックまで、再現デモとその対策方法を持ち帰っていただきます。

対象者

• PHPなどで開発中のエンジニア
• バグバウンティや脆弱性診断に興味をもつ学生・研究者

本セッションから持ち帰れるもの

• PHPで構築されたアプリケーションの特有の脆弱性とその対策方法について
• 実務で役立つチェックリスト

WordPressは柔軟で世界シェアNo.1のCMSであり、適切な運用をすれば安全に活用できます。
しかし、「すべてをWordPressで完結させる」ことにこだわりすぎると、運用負荷が増したり、セキュリティリスクが分散しにくくなることもあります。
本セッションでは、PHPの視点からWordPressのセキュリティ対策を考え、スマートな分散アーキテクチャを提案します。

✔ WordPressはセキュリティ対策を組み込める優れたCMS
✔ プラグインを活用したセキュリティ強化の工夫
✔ サイト全体の安全性を高める分散型アーキテクチャ
✔ ID管理・アクセス制御・WAFなどを適切に組み合わせる方法
✔ WordPressのシンプルな運用を維持しながら、セキュリティを高める手法

「WordPressだからこそできる」安全な運用設計を具体的な事例とともに紹介し、無理なくセキュリティ対策を強化するためのヒントを提供します。WordPressの利便性を最大限に活かしながら、安全で快適な運用を目指しましょう！

WordPressはPHPベースのCMSですが、セキュリティ対策をすべてWordPress内部に依存するのは非効率的です。
本セッションでは、WordPressが抱えるセキュリティ課題をPHPの視点から考察し、分散型セキュリティアーキテクチャのメリットを解説します。
特に、PHPを活用してWordPress外のセキュリティレイヤーと連携する手法に焦点を当て、より安全かつ柔軟な運用戦略を提案します。

主なポイント
✅ WordPressのセキュリティの限界とPHPが担える役割
✅ 「WordPressだけで完結させない」分散型アプローチ
✅ PHPで外部システムと統合する方法（ID管理、WAF、アクセス制御など）
✅ 実装例：PHPによるJWT認証・RBACの組み込み
✅ WordPressの運用をシンプルに保ち、専門サービスを活かす戦略